was ist tskdll.exe \Backdoor:WORM_RBOT.LM

[miezmutz]

Hi,
hab hier mal nen hijackthis logfile vom PC meines Schwiegervaters:

Logfile of HijackThis v1.98.2
Scan saved at 19:14:14, on 18.09.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
D:\Programme\AVPersonal\AVGUARD.EXE
D:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\MsPMSPSv.exe
D:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\tskdll.exe
C:\WINDOWS\system32\ctfmon.exe
D:\Programme\totalcmd\TOTALCMD.EXE
D:\temp\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.komhome.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von KomTel
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - d:\Programme\Spybot - Search & Destroy\SDHelper.dll
O4 - HKLM\..\Run: [AVGCtrl] D:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [Windows servict] tskdll.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\RunServices: [Windows servict] tskdll.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

kann mir jemand erklären, warum dies hier:
C:\WINDOWS\system32\svchost.exe
dreimal dabei ist, und was dies ist:
C:\WINDOWS\system32\tskdll.exe

bin wie immer gespannt und dankbar...
ciao, mutz

[Jinxy]

Hi,

Google kennt die Datei nicht. Mache einmal einen Rechtsklick - Eigenschaften - Version. Gehe im linken Fenster einmal alles durch. Vielleicht kann man so ermitteln, woher die Datei stammt.

Gruß Jinxy

[miezmutz]

Hi,
nicht nur Google kennt die nicht! Yahoo ebenfalls nicht, bei MS Support finde ich auch nichts, auf der WinTotal Seite dito...
äääh, wo soll ich was genau mit rechts anklicken
.....wie gesagt, das logfile stammt nicht von meiner Kiste....

ciao, mutz

[miezmutz]

Hi,
ich hab übrigens auch schon diesen Link hier ausprobiert:
http://www.hijackthis.de/ ( Danke Nikita ),
leider krieg ich da auch nur Fragezeichen, was tskdll.exe angeht...
hat noch jemand ne andere Idee ?

ciao, mutz

[Jinxy]

Hi miesmutz,

die Datei selbst rechts anklicken.

Gruß Jinxy

[miezmutz]

Hi Jinxy,
werd ich mal versuchen, wenn ich mal wieder an der Kiste bin...

ciao, mieZmutz

[Nikita]

Hallo @miezmutz

tskdll.exe ist der sehr gefaehrliche Backdoor:WORM_RBOT.LM
...........................................................................................................
scanne noch einmal mit dem HijackThis, dann setze ein Haekchen vor diese zwei Eintraege, klicke auf <fix< und dann starte sofort den PC neu.

O4 - HKLM\..\Run: [Windows servict] tskdll.exe
O4 - HKLM\..\RunServices: [Windows servict] tskdll.exe


NEUSTARTEN

1.)Gehe in die Registry
Start<Ausfuehren<regedit (reinschreiben)

navegiere zu
HKEY_LOCAL_MACHINE>Software>Microsoft>
Windows>CurrentVersion>Run
loesche auf der rechten Seite:
<Windows servict = "tskdll.exe<

navegiere zu:
HKEY_LOCAL_MACHINE>Software>Microsoft>
Windows>CurrentVersion>RunServices
und loesche auf der rechten Seite ::
<Windows servict = "tskdll.exe<

navegiere zu folgendem Schluessel:
HKEY_CURRENT_USER>Software>Microsoft>OLE
loesche auf der rechten Seite:
<Windows servict = "tskdll.exe"<

schliesse die Registry

««Starte den PC neu

2.Loesche:
C:\WINDOWS\system32\tskdll.exe

3.Das eScan AV Toolkit (mwav.exe) herunterladen,
http://www.mwti.net/antivirus/free_utilities.asp
die Datei in den Ordner "c:\base" entpacken und danach die "kavupd.exe" (automatisches Update ueber DOS) ausführen.
und den Scanner mit der "mwav.exe" starten. Alle Häkchen setzen :
Auswählen: Memory, Startup-Folders, Registry, System Folders, Services, Drive/All Local drives und "Scan clean" klicken.
Poste danach Virus Log Information:
was als <deleted< und <renamed< und <no action taken< gefunden wurde und das neue Log vom HijackThis noch mal posten.
..............................................................................................................
und mache unbedingt die WindowsUpdates !!!
GANZ BESONDERS DIE HIER:
<Microsoft Security Bulletin MS03-026
http://www.microsoft.com/downloads/deta ... laylang=en
<Microsoft Security Bulletin MS03-007
http://www.microsoft.com/downloads/deta ... laylang=en
<Microsoft Security Bulletin MS03-001
http://www.microsoft.com/downloads/deta ... laylang=en

mfg
Nikita

http://www.trendmicro.com/vinfo/virusen ... RM_RBOT.LM

[miezmutz]

Hi nikita,
danke schon mal für deine Mühe...
ich werd erst morgen dazu kommen, die Prozedur durchzuführen, dann meld ich mich wieder...

ciao, mutz

[miezmutz]

Hi Nikita,
ich hab versucht, alles so auszuführen, wie du gesagt hast...
--> C:\WINDOWS\system32\tskdll.exe konnte ich nicht finden...
--> das automatische Update ("kavupd.exe")hat leider nicht hingehauen, lag vielleicht am analogen Anschluß...
--> ich hoffe, die folgenden Infos sind die, die du haben wolltest...

Tue Sep 21 14:46:04 2004 => Scanning File C:\WINDOWS\system32\tskdll.exe
Tue Sep 21 14:46:05 2004 => Process C:\WINDOWS\system32\tskdll.exe Found running in Memory...
Tue Sep 21 14:46:05 2004 => *** Killing Infected Process C:\WINDOWS\system32\tskdll.exe...
Tue Sep 21 14:46:06 2004 => *** Killing Successful.
Tue Sep 21 14:46:07 2004 => File C:\WINDOWS\system32\tskdll.exe infected by "Backdoor.Rbot.gen" Virus. Action Taken: File Renamed.

Tue Sep 21 14:56:55 2004 => File C:\System Volume Information\_restore{07E1332F-C193-47F0-8C08-9BBA0B8C1C44}\RP28\A0012338.exe infected by "Backdoor.Rbot.gen" Virus. Action Taken: File Renamed.

--> hier der neue hijackthis logfile:

Logfile of HijackThis v1.98.2
Scan saved at 15:30:48, on 21.09.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
D:\Programme\AVPersonal\AVGUARD.EXE
D:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\nvsvc32.exe
d:\Programme\Speed Disk\nopdb.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\tlntsvr.exe
C:\WINDOWS\System32\MsPMSPSv.exe
D:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\ctfmon.exe
D:\Programme\totalcmd\TOTALCMD.EXE
H:\Hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.postbank.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von KomTel
O4 - HKLM\..\Run: [AVGCtrl] D:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

--> sieht doch gut aus, oder?
--> die Windows Updates brauchte ich nicht, weil SP2 installiert ist...
--> was soll ich jetztnoch machen?

Gruß, mutz

[Nikita]

Hallo @miezmutz

1.Deaktivieren Wiederherstellung, booten und wieder aktivieren
http://service1.symantec.com/SUPPORT/IN ... 7105707924

2.#AdAware (free)
http://www.lavasoft.de/support/download/
VOR jedem Scanvorgang das Programm Updaten!
WÄHREND des Scanvorganges müssen ALLE sonstige Anwendungen beendet werden und alle Browserfenster müssen geschlossen sein!.
Files, die Adaware findet, können bedenkenlos gelöscht werden.

3. Nicht mehr mit dem IE surfen
#Alternativbrowser zum IE
Firefox(leider gibt es die neuste Version nur in Englisch)Unter "Options" oben in der Browserleiste kannst du alles einstellen, also Startseite usw.
http://www.mozilla.org/products/firefox ... 01.0PR.exe
Opera
http://www.opera7.de/

4.PC-Selbsttest
http://check.lfd.niedersachsen.de/start.php

und poste bitte, ob der PC ein Einzelplatzrechner ist oder im Netzwerk.

Das Log ist sauber

Gruss
Nikita

[miezmutz]

Hallo nikita ,
sag mal, was bedeutet bei eScan eigentlich <renamed ? Sind die Dateien damit unschädlich gemacht worden? Muß ich sie nicht mehr löschen?
ich konnte das automatische Update (kavupd.exe) nicht vollständig ausführen, woran könnte das denn gelegen haben? könnte die analog Verbindung zu langsam sein? Muß das Updaten auf dem betroffenen Rechner geschehen, oder könnte ich das bei mir zu Hause über DSL machen und die Daten kopieren?
In deiner Anleitung (s.o.) fehlte der Hinweis mit dem abgesicherten Modus, so dass ich nur im Normalmodus gescannt habe...soll ich es sicherheitshalber noch mal machen?
Dabei fällt mir noch ne Frage ein...du sagst immer:" den Scan mit mwav.exe starten", aber ich konnte in C:\base keine mwav.exe finden...ich hab also noch mal auf die gepackte mwav.exe geklickt, die sich dann noch mal nach C:\temp entpackt hat, wonach eScan angelaufen ist... so ganz richtig kam mir das aber nicht vor...
kannst du mir da noch was zu sagen ?

1. das mit dem Deakivieren der Wiederherstellung werd ich noch machen...
2. Ad-Aware läuft jeden Tag, und wird auch immer aktuell gehalten...dazu natürlich auch Spybot S&D...es wird auch immer gnadenlos alles gelöscht...
3. der PC von dem hier die Rede ist, ist übrigens ein Einzelplatzrechner, der immer nur recht kurz im I-net ist, ich weiß gar nicht, wie sich da immer was einnistet, vor allem, weil garantiert keine dubiosen Seiten aufgesucht werden...
4. das mit dem alternativen Browser werd ich mal vorschlagen...
5. der Selbsttest dürfte über analoges Modem sicherlich enorm lange dauern, was soll denn dabei rauskommen?

ciao, mutz

[Nikita]

Hallo @miezmutz

1.Hier ist (in Englisch) erklaert, wie sich der Backdoor verbreitet.
http://www3.ca.com/securityadvisor/viru ... x?id=39437

2.die "mwav.exe dient dazu, dass man mit ihrer Hilfe im abgesicherten Modus scannen kann.

3. die "kavupd.exe" (automatisches Update ueber DOS) dient zum Updaten des Scanners, also zur Aktualisation.

mfg
Nikita